Интернет 

Что вам нужно знать о паролях?

Анастасия Макарова

Многие угрозы безопасности зависят от способности взломщиков копировать нас в сети. Пароли являются основным способом того как мы идентифицируем себя при использовании сервисов, поэтому вам следует научиться способам повышения безопасности паролей.

Пароли – какова их цель?

Миллионы людей пользуются сервисами в сети каждый день, поэтому крайне важно, чтобы эти системы оберегали пользователей от доступа к информации других пользователей. Для этого, им необходим способ уникальной идентификации каждого пользователя таким образом, чтобы один пользователь не мог притворяться другим. Это называют идентификацией и аутентификацией.

Пароли и коды доступа являются наиболее распространенным способом аутентификации пользователей. Примеры такого использования включают PIN (Личный Идентификационный Номер) который вы используете для своих кредитных и дебетных карт, а также множество паролей, которые вы используете для доступа к связанным с компьютером сервисами.

Идеальный пароль должен соответствовать двум противоречивым условиям. Он должен:

  • достаточно легко запоминаться, чтобы пользователь мог помнить его не записывая
  • быть достаточно длинным чтобы никто не мог его угадать.

Определенно, вы заметили, что запоминание паролей довольно трудная задача и она может быть даже труднее чем забота о безопасности.

password

Что происходит, когда вы вводите пароль?

Когда пароль вводится пользователем, этот пароль сравнивается с паролем, хранящимся на сайте. Если пароли идентичны, пользователь получает доступ.

При этом есть пара потенциальных уязвимостей, которые вы легко можете заметить:

  • Пароль передается в виде обычного текста (вы видите результат; он никак не скрыт) – поэтому он может быть перехвачен во время движения по сети.
  • Пароль сохраняется как обычный текст – атака на сервер может не только показать пароль конкретного пользователя, но и пароли всех пользователей системы.

Первая проблема обычно решается шифрованием коммуникации между пользователем и сервером. Наиболее распространенная форма шифрования – это стандарт SSL (Протокол Безопасных Соединений). SSL используется когда вы видите вначале веб-адреса страницы ‘https’ вместо ‘http’, и символ блокировки в вашем браузере.

Вторая проблема также может быть решена использованием метода, который называется хеширование. «Хэш» или «случайные данные» являются результатом обработки простого текста для создания уникального идентификатора с фиксированной длиной. Его невозможно использовать для реконструкции первоначальных данных – даже если хэш попадет в преступные руки, оригинальный текст не будет расшифрован. На этой схеме функция хеширования используется для создания хэш-пароля хранящегося на сервере – при этом сам пароль удаляется. Когда пользователь вводит пароль, его текст хешируется с использованием копии такой же хэш-функции на его компьютере. Образовавшийся хэш отправляется в сеть и сравнивается с хэшем хранящимся на сервере пароля. Пользователь получает доступ только в случае их совпадения.

Почти все сетевые сервисы и компьютерные системы хранят пароли в виде хэша – но удивительно, что по-прежнему происходят сбои. Проблемы описаны в следующем примере, которого можно избежать если используется метод хеширования.

Пример: Атака на компанию RockYou

В 2009 году игровой и рекламной компании RockYou был нанесен ущерб крупной брешью в безопасности, когда 32 миллиона аккаунтов пользователей были подвергнуты риску и выяснилось, что компания не только хранила пароли как обычный текст, но и поддерживала слабые пароли, требуя, чтобы их длина составляла всего пять символов.

Проблемы RockYou увеличились, когда обнаружилось что в течение более десяти лет руководству компании было известно, что их база данных уязвима для взломов. Компанию уже критиковали на частном уровне, за отправку писем, содержащих полные списки их партнеров по рекламе, и за слабый уровень безопасности при подтверждении паролей через незащищенную почту.

___

Даже когда хеширование и зашифрованная коммуникация используются, по-прежнему есть способы, с помощью которых взломщики успешно узнают ваш пароль. Читайте больше об этом в

  • По материалам The Open University.
  • Перевод thingshistory.com. Использовать только с разрешения!

Читать далее